TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

パラゴンのスパイウェアが欧州のジャーナリストを標的に、Citizen Labが確認

Citizen Labの研究者らは、少なくとも2人の欧州のジャーナリストのiPhoneが、イスラエル企業Paragon Solutionsが開発したスパイウェア「Graphite」に感染していたことを示す、初のフォレンジック証拠を明らかにした。

トロント大学のデジタル・フォレンジック研究センターの研究者であるBill Marczak氏とJohn Scott-Railton氏は、6月12日の投稿で、匿名の欧州ジャーナリストとイタリア人ジャーナリストのCiro Pellegrino氏の両者の端末にGraphiteがインストールされていたことを、高い確度で裏付けるフォレンジック証拠を発見したと述べた。

研究者らは「両事例を同一のParagonオペレーターに結び付ける指標を特定した」と付け加えた。

Appleは研究者らに対し、これらの事例で用いられたゼロクリック攻撃が、iOSにおける重大な脆弱性(CVSSv3スコア9.8)を悪用していたことを確認した。この欠陥は CVE-2025-43200として追跡されており、iCloudリンク経由で共有された悪意をもって細工された写真または動画を処理する際の ロジックの問題 に起因する。これは最新のiOSバージョンである18.3.1で緩和された。

確認されたGraphiteのゼロクリック感染試行

Citizen Labのフォレンジック分析は、Appleが2025年4月29日に発した警告を受けて行われたもので、同社は高度なスパイウェアによって一部のiOSユーザーが標的にされていることを検知したとしていた。

2人のジャーナリストが研究者らに端末を提供することを決め、研究者らは、匿名の欧州ジャーナリストの端末のうち1台が、iOS 18.2.1を実行していた2025年1月および2月上旬に、ParagonのGraphiteスパイウェアによって侵害されていたことを突き止めた。

研究者らは「端末上のログが、同時期に当方が公開したFingerprint P1と一致するサーバーに対して一連のリクエストを行っていたことを示していたため、侵害はGraphiteによるものだと高い確度で帰属させる。当方はこのフィンガープリントをParagonのGraphiteスパイウェアに高い確度で結び付けた」と述べている。

Pellegrino氏は、4月29日にAppleから通知を受けた後、研究者らが自身の端末を分析することを許可した。研究者らは「端末ログの分析により、(匿名の欧州)ジャーナリストを標的にするために使用されたのと同一のiMessageアカウントの存在が明らかになった。これはGraphiteによるゼロクリック感染の試行に関連付けている」と付け加えた。

Attribution to Paragon’s Graphite spyware via artifacts found on the devices of Ciro Pellegrino and the unnamed prominent European journalist. Source: Citizen Lab
Ciro Pellegrino氏および匿名の著名な欧州ジャーナリストの端末で見つかったアーティファクトを通じた、ParagonのGraphiteスパイウェアへの帰属。出典:Citizen Lab

Pellegrino氏の同僚である3人目のジャーナリスト、Fanpage.it編集長のFrancesco Cancellato氏は、2025年1月にWhatsAppから、ParagonのGraphiteスパイウェアの標的になっていると通知を受けた。

Citizen LabはCancellato氏のAndroid端末についてフォレンジック分析を実施したが、感染が成功したことを確認する証拠は見つからなかった。

Citizen Labは2025年6月10日に調査結果の要約をParagonに送付し、回答の機会を与えたが、公開時点までに返答は得られていなかった。

イタリア、Paragonとの関係を断つ

これらの新たな発見は、イタリア政府の議会委員会COPASIRが2025年6月5日に報告書を公表し、イタリア政府がParagonのGraphiteスパイウェアを2人の人物、Luca Casarini氏とGiuseppe「Beppe」Caccia氏に対して使用していたことを確認した数日後に出てきたものだ。

Citizen Labによれば、その後の展開により、Paragonは同じスパイウェアの標的となった3人目の人物であるCancellato氏に関する調査を支援する用意があると申し出ていたことが明らかになった。

しかしこの申し出は、Haaretzが報じたとおり、2025年6月9日にイタリア政府によって拒否された。Paragonはまた、イタリアとの契約を一方的に終了したのは自社であるとも示唆した。

イタリア情報安全保障局(DIS)は、Paragonの申し出を拒否した理由として国家安全保障上の懸念を挙げ、国際的な同業機関の間での評判を損なうことになると述べた。また、Paragonとの契約を一方的に終了したとの主張を否定した。

一方COPASIR委員会は、Paragonの申し出を進めないことを選択し、代わりにParagonのデータベースへ直接アクセスする方針を明確にしたうえで、委員会に対するParagonの証言を機密解除する意思があることを表明した。

今すぐ読む:スパイウェアのリスクを軽減し、ビジネスの機密を守る方法 

翻訳元: https://www.infosecurity-magazine.com/news/european-journalists-paragon/

ソース: infosecurity-magazine.com
#Citizen Lab #CVE-2025-43200 #Graphiteスパイウェア #iOS脆弱性 #iPhone感染 #Paragon Solutions #イタリア政府 #ジャーナリスト標的 #ゼロクリック攻撃 #監視とプライバシー

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新